En Social Engineering Penetration Testing (enlace externo a ibm.com), los expertos en seguridad Gavin Watson, Andrew Mason y Richard Ackroyd escriben que la mayoría de los pretextos están compuestos por dos elementos primarios: un personaje y una situación. 

El personaje es el papel del estafador en la historia. Para generar credibilidad con la víctima potencial, el estafador generalmente se hace pasar por alguien con autoridad sobre la víctima, como un jefe o ejecutivo, o alguien en quien la víctima se inclina a confiar, como un colega, un miembro del personal de TI o un proveedor de servicios. Algunos atacantes pueden intentar hacerse pasar por colegas o seres queridos de la víctima.

La situación es la trama de la historia falsa del estafador: la razón por la que el personaje le pide a la víctima que haga algo por él. Las situaciones pueden ser genéricas (por ejemplo, "necesita actualizar la información de su cuenta") o pueden ser muy específicas, especialmente si los estafadores se dirigen a una víctima en particular.

Para hacer creíbles las imitaciones de sus personajes y sus situaciones, los actores de amenazas suelen investigar su personaje y su objetivo en línea. No es tan difícil. Según un informe de Omdia, los hackers pueden crear una historia convincente, y basarse en información de las redes sociales y otras fuentes públicas, luego de solo 100 minutos de Google general.

Otras técnicas para hacer que los personajes sean más creíbles incluyen falsificar la dirección de correo electrónico o el número de teléfono del personaje, u obtener acceso no autorizado a la cuenta de correo electrónico o número de teléfono real del personaje y usarlo para enviar el mensaje. En lo que puede vislumbrar el futuro de los pretextos, en 2019, los estafadores engañaron a una compañía energética del Reino Unido por 243 000 USD mediante inteligencia artificial (IA) para hacerse pasar por la voz del CEO de la matriz de la empresa y realizar llamadas telefónicas fraudulentas que solicitan pagos a los proveedores de la empresa. 

Estafas de business email compromise

El business email compromise (BEC) es un tipo particularmente maligno de ingeniería social dirigida que depende en gran medida de pretextos. En BEC, el personaje es un ejecutivo de la vida real o un asociado de negocios de alto nivel con autoridad o influencia sobre el objetivo. La situación es la necesidad de ayuda del personaje con una tarea urgente, por ejemplo, no puedo salir del aeropuerto y olvidé mi contraseña, ¿pueden enviar mi contraseña al sistema de pago (o pueden transferir $XXX, XXX.XX a la cuenta bancaria #YYYYYY para pagar la factura adjunta)?

Año tras año, el BEC figura entre los delitos cibernéticos más costosos. Según el informe Costo de una filtración de datos en 2022 de IBM, las filtraciones de datos derivadas del BEC cuestan a las víctimas un promedio de 4.89 millones de dólares. Y según datos del Internet Crime Complaint Center del FBI (enlace externo a ibm.com), en 2021, las víctimas de la BEC sufrieron pérdidas totales de casi 2400 millones de dólares.

Estafas en la actualización de cuentas

En este caso, el estafador se hace pasar por representantes de una empresa para alertar a la víctima de un problema con su cuenta, como información de facturación caducada o una compra sospechosa. El estafador incluye un enlace que lleva a la víctima a un sitio web falso que roba sus credenciales de autenticación, información de tarjeta de crédito, número de cuenta bancaria o número de seguro social.

Estafas a los abuelos

Al igual que muchas estafas de ingeniería social, estas se apoderan de los adultos mayores. El delincuente cibernético se hace pasar por el nieto de la víctima y finge que está en algún tipo de problemas —por ejemplo, un accidente automovilístico o arresto— y necesita que sus abuelos le envíen dinero para que pueda pagar la cuenta del hospital o la fianza.

Estafas románticas

En las estafas de citas con pretexto, el estafador finge querer mantener una relación romántica con la víctima. Tras ganarse el amor de la víctima, el estafador suele pedir dinero para eliminar algún obstáculo final que les impida estar juntos, por ejemplo, una deuda agobiante, una obligación legal o incluso el costo de un boleto de avión para visitar a la víctima.

Estafas de criptomonedas

Tras aparentar ser un inversionista exitoso con una oportunidad de criptomoneda infalible, el estafador dirige a la víctima a un intercambio de criptomonedas falso, donde se roba la información financiera o el dinero de la víctima. Según la Comisión Federal de Comercio (FTC) (enlace externo a ibm.com), los consumidores estadounidenses perdieron más de mil millones de dólares por estafas criptográficas entre enero de 2021 y marzo de 2022.

Estafas gubernamentales/del IRS

Al hacerse pasar por funcionarios del IRS, autoridades policiales u otros representantes del gobierno, el estafador afirma que el objetivo está en algún tipo de problema; por ejemplo, no pagaron impuestos o tienen una orden de arresto, y le indica al objetivo que realice un pago para evitar un gravamen hipotecario, salarios devengados o la prisión. El pago, por supuesto, va a la cuenta del estafador. 

El uso de pretextos es un componente clave de muchas estafas de ingeniería social, que incluyen:

Phishing. Como se señaló anteriormente, el pretexto es particularmente común en los ataques de phishing dirigidos, incluido el phishing focalizado, que es un adjunto de phishing dirigido a una persona específica), y whaling, que es el phishing focalizado que se dirige a un ejecutivo o un empleado con acceso privilegiado a información o sistemas confidenciales.

Pero los pretextos también desempeñan un papel en las estafas no dirigidas de phishing por correo electrónico "spray and pray", phishing por voz (vishing) o phishing por mensajes de texto SMS (smishing). Por ejemplo, un estafador podría enviar un mensaje de texto como [NOMBRE DEL BANCO GLOBAL AQUÍ]: Su cuenta está sobregirada a millones de personas, esperando que algún porcentaje de los destinatarios sean clientes del banco y algún porcentaje de esos clientes respondan al mensaje.

Tailgating. A veces llamado "piggybacking", el tailgaring es cuando una persona no autorizada sigue a una persona autorizada a un lugar que requiere autorización, como un edificio de oficinas seguro. Los estafadores emplean pretextos para que sus intentos de seguimiento de personas sean más exitosos, por ejemplo, hacerse pasar por un repartidor y pedirle a un empleado desprevenido que les abra una puerta cerrada. 

Baiting. En este tipo de ataques, un delincuente engaña a las víctimas para que descarguen malware atrayéndolas con un cebo atractivo, pero vulnerado. El cebo puede ser físico (por ejemplo, memorias USB cargadas con código malicioso y dejadas de manera visible en lugares públicos) o digital (por ejemplo, publicidad de descargas gratis de películas que resultan ser malware). Los estafadores suelen emplear pretextos para hacer que el cebo sea más atractivo. Por ejemplo, un estafador podría colocar etiquetas en una unidad USB comprometida para sugerir que pertenece a una empresa en particular y que contiene archivos importantes. 

Varias leyes específicas de la industria se enfocan explícitamente en los pretextos. La Ley Gramm-Leach-Bliley de 1999 tipifica como delito el pretexto con respecto a las instituciones financieras, por lo que es un delito obtener información financiera de un cliente bajo pretextos falsos; también requiere que las instituciones financieras capaciten a los empleados en la detección y prevención de pretextos. La Ley de protección de registros telefónicos y privacidad de 2006 prohíbe explícitamente el uso de pretextos para acceder a la información de los clientes en poder de un proveedor de telecomunicaciones.

En diciembre de 2021, la FTC propuso una nueva regla (enlace externo a ibm.com) que prohibiría formalmente la suplantación de cualquier agencia gubernamental o empresa. La regla facultaría a la FTC para imponer una prohibición de tácticas comunes de pretexto, como usar el logotipo de una empresa sin licencia, crear un sitio web falso que imite un negocio legítimo y falsificar correos electrónicos comerciales.

Como ocurre con cualquier otra forma de ingeniería social, combatir los pretextos puede resultar difícil porque explota la psicología humana en lugar de vulnerabilidades técnicas que puedan corregirse. Pero hay pasos efectivos que las organizaciones pueden tomar.

• Domain-based message authentication reporting (DMARC): DMARC es un protocolo de autenticación de correo electrónico que puede evitar la suplantación de identidad. DMARC verifica si un correo electrónico fue enviado desde el dominio del que dice proceder. Si se detecta que un correo electrónico es falso, puede desviarse automáticamente a la carpeta de spam o eliminarse.
  
  
• Otras tecnologías de ciberseguridad : además de DMARC, las organizaciones pueden implementar filtros de correo electrónico impulsados por IA que detectan frases y líneas de asunto empleadas en ataques de pretexto conocidos. Una pasarela web segura puede evitar que los usuarios sigan enlaces de correo electrónico de phishing a sitios web sospechosos. Si un atacante consigue acceder a la red mediante pretextos, las tecnologías de ciberseguridad, como las plataformas de detección y respuesta de endpoints (EDR), detección y respuesta en red (NDR) y detección y respuesta ampliadas (XDR), pueden interceptar la actividad maliciosa.
   
• Capacitación en seguridad: debido a que el pretexto manipula a las personas para que comprometan su propia seguridad, capacitar a los empleados para detectar y responder adecuadamente a las estafas de pretexto puede ayudar a proteger una organización. Los expertos recomiendan ejecutar simulaciones basadas en ejemplos de pretextos de la vida real para ayudar a los empleados a diferenciar entre pretextos y solicitudes legítimas de colegas. La capacitación también puede incluir protocolos claros para manejar información valiosa, autorizar pagos y verificar solicitudes con sus fuentes supuestas antes de cumplir.